Accès au contenu		Début du rapport
	Description		Compte-Rendu de Jean-Philippe Bichard et Hervé Schauer Spécial Assises de la sécurité (16, 17 et 18 octobre 2003, Deauville)
	Contexte & Dates		Rapport réalisé pour notre service de veille en actualité . La différence entre la date de rédaction et la date d'envoi est généralement due aux corrections et relectures par les différentes personnes ayant participé à la conférence. 18 octobre 2003 - Rédaction du compte-rendu 20 octobre 2003 - Envoi aux abonnés de la veille en actualité 24 octobre 2003 - Publication dans Netcost & Security Hebdo - n°162 19 janvier 2004 - Publication sur le site web d'HSC
	Auteur		Jean-Philippe Bichard / Hervé Schauer (Herve.Schauer@hsc.fr)
	Langue et Nature
	Résumé & Table des matières		La conférence d'ouverture Les tables rondes Les ateliers La conférence de cloture
	Documents liés
	Droits d'auteur		© 2004, Hervé Schauer Consultants, tous droits réservés.

- Les Assises de la Sécurité ont réuni 450 personnes à Deauville le vendredi 17 Octobre 2003. Au programme : confiance et le FETC, les ateliers de France Telecom, Thales, Dimension Data, Sophos, Cisco …. table ronde sur la mobilité, séance d'ouverture et de clôture.

Suite à une rapide introduction d'accueil le jeudi matin par Gérard Rio (DG consultants), Jean-Philippe Bichard (Netcost & Security) a animé une table ronde en séance plénière sur le thème de la confiance suite aux interventions de Jean Saphores, président de la FNTC (Fédération Nationale des Tiers de Confiance) et Jean-Séverin Lair, responsable des services aux usagers à l'ADAE (Agence pour le développement de l'administration électronique)

 A l'occasion de la table ronde, la FNTC  a annoncé la création de labels, en débutant par un label attribué aux services proposés par les tiers archiveurs. L'obtention du label passe par un audit. Les audits sont effectués par des auditeurs indépendants sous le contrôle de la FNTC et selon des procédures strictes. Jean Saphores, a rappelé que les échanges sous forme électronique ne peuvent se développer sans un climat de confiance juridique fondé sur des actes non contestables. Selon lui il faut établir une correspondance des métiers traditionnels de la confiance : notaires, huissiers, experts-comptables… vers une version d'échanges dématérialisés de ces métiers.

Jean-Séverin Lair, responsable des services aux usagers à l'ADAE (Agence pour le développement de l'administration électronique) a exposé comment l'Etat va profiter du bond technologique de l'administration électronique auprès de l'usager pour «re-ingéniérer» son organisation informatique. Actuellement chaque entité a développé pour des raisons historiques son propre système. A titre d'exemple il rappelle qu'il y a des dizaines de manières de voir la même adresse dans les systèmes d'information des administrations. Jean-Séverin Lair a démontré la redondance entre les réalisations des collectivités locales qui refont toutes des cartes pour les usagers en repartant pratiquement à zéro. L'ADAE va construire l'inter-opérabilité dans le service public en s'appuyant sur une standardisation puis en définissant des formats d'échanges en XML. L'ADAE va développer la mutualisation des moyens et des services afin de développer la vision unique pour le citoyen en optimisant de manière pragmatique les coûts. Des exemples d'applications existent à l'image de la demande d'acte de naissance, "mon.service-public.fr", le compte électronique de l'usager, La carte de vie quotidienne… A la question posée par Jean-Philippe Bichard sur les éventuelles zones de redondance entre services gratuits développés par l'Etat et services proposés par des acteurs des tiers de confiance, Jean-Séverin Lair a rappelé qu'il était naturel que l'Etat offre des services dématérialisés gratuits comme il le fait actuellement dans un cadre plus traditionnel. Il a précisé le soutien de l'ADAE aux projets actuels de la Confiance et notamment les initiatives portant sur la labellisation des services de confiance.

Deux exemples d'utilisations de la signatures électronique ont étés présentés par Christophe Cloesen (opérateur d'assurance belge Portima, anciennement Assurnet) pour Portima, Thierry Berte, directeur informatique, Ordre des avocats à la cour de Paris et  Jean-Marc Riesling (Certeurope), fournisseur de E-Greffe. Portima est une initiative des assureurs belges en partenariat avec Nexus. Ils ont réalisé un service d'intermédiation de confiance entre les assureurs et les 3500 courtiers, concurrents entre eux. Près de 200 applications sont concernées. Le gain est évident: authentification des courtiers et signature des documents contractuels interopérables pour toute la profession. E-Greffe a expliqué Thiery Berte est un service pour 17000 avocats, soit un avocat sur deux en France, qui leur permet de communiquer avec les institutions, via une authentification et signature par un certificat sur clé USB.

La conférence plénière du matin se termine par la remise des trophées de la FETC en partenariat avec Rainbow pour distinguer les applications les plus innovantes en matière de confiance. Pour le secteur public le trophée est attribué à Arpège de Certinomis, gestion de l'état-civil, et pour le secteur privé le trophée est revenu à Opalex développé avec Certeurope pour les experts judiciaires.

La table ronde de la FETC a connu l'affluence, et a reposé les difficultés d'utilisation des infrastructures de clés dans un débat très actif. La société a besoin de dématérialiser les actes de la vie sociale, administrative et commerciale. L'outil juridique est la preuve, et en version électronique il faut la signature électronique, l'archivage, l'horodatage et la notarisation pour établir une chaîne de confiance dans le cycle de vie d'un document, de sa conception à sa destruction.

Pour montrer que les applications existent, les fournisseurs présents n'ont su que citer les mêmes références que dans toutes les conférences précédentes. Le problème est que ces utilisateurs refusent de témoigner publiquement, et en privé, le retour sur investissement n'est généralement pas encore au rendez-vous et les difficultés organisationnelles et d'interopérabilités subsistent, ce qui a généré beaucoup de questions : renouvellement des certificats, sérialisation des documents, resignature tous les 5 ans, horodatage quand le certificat a été révoqué, etc…

Coté ateliers, Eric Wiatrowski (Sécurité France Télécom) a présenté les services de sécurité offerts par Transpac : infogérance de VPN, pare-feu, et anti-virus. FT utilise les produits qu'il qualifie de "leaders" avec un seul produit dans chaque gamme : Cisco pour les routeurs, Checkpoint/Nokia pour les pare-feu infogérés et Netscreen pour les siens, Trend Micro pour les anti-virus infogérés et Symantec en interne. L'intérêt d'un service infogéré est aussi d'être déchargé de l'application des correctifs de sécurité. France Telecom tente de s'étendre jusqu'à l'audit de sécurité, notamment au travers de ses 1500 partenaires. Les 150 premiers revendeurs des offres France Telecom se voient délivrer le label "partenaire expert". Philippe Landeau précise que le label est obtenu après avoir suivi un séminaire France Telecom, mais il correspond à un chiffre d'affaire réalisé. Le label n'a donc aucun rapport avec un niveau d'expertise.

Jean-Philippe Cantet (Thales) et Gérard Levicki (Dimension Data) ont obtenu le label expert et ont présenté les offres de leurs sociétés respectives.
 Thales propose un service de supervision de sécurité. Les journaux des équipements de sécurité et des sondes IDS sont renvoyés chez Thales avec le logiciel de gestion de journaux Netforensics. L'ingénieur de Thales «reparamétre» en temps-réel les pare-feu du clients après enquête.
Dimension Data est un intégrateur sud-africain présent dans 30 pays. En 2002, il a mis en oeuvre dans le monde 4500 pare-feu, 2376 VPN, 877 solutions d'authentification, 690 anti-virus, 498 IDS, 405 analyses de contenu, 224 filtrage URL, 214 relais de sécurité et 26 infrastructures à clé publique.

Dimension Data propose des services classiques d'infogérance de pare-feu et IDS de toutes marques, ils gèrent environ 1500 équipements dans le monde. Dimension Data vend également un service de tests de vulnérabilités donnant une certification par VISA, une gestion des accès distants et une supervision de la journalisation sans faire remonter les journaux chez Dimension Data. Les sites marchands utilisant le règlement par carte VISA seront tous invités à se faire certifier par le test de vulnérabilités et le questionnaire de Dimension Data. Enfin ils proposent une gestion des nomades, les pare-feu personnels des PC vont chercher leur politique de sécurité chez Dimension Data, qui gère également les authentifications des utilisateurs.

Michel Lanaspèze de chez Sophos, a rappelé des chiffres clés au cours d'un atelier très intéressant sur les évolutions des attaques au moyen de codes malicieux. Ainsi, les spams connaissent une évolution inquiétante une entreprise sur deux touchée dans le monde  et des technologies nouvelles. A l'origine, le spam était un message texte puis en plus du texte s'est ajouté un masque sur le contenu. En 2003, la majorité des spams ont un contenu masqué et font appel aux liens HTML. Cette évolution pose également le problème juridique suivant: aux Etats-Unis, certains employés portent plainte contre leur employeur en raison de spam «pornographique» reçu durant leurs heures de travail. Une nouvelle piste pour les juristes. Autre indicateur, Sophos se présente comme l'éditeur ayant le meilleur taux de faux faux positif. soit 1 sur 100 000. Ce qui signifie que sur 100 000 messages stoppés pour cause de contenu «spam» un seul sur 100 000 n'aurait pas dû etre arrêté.

La conférence plénière de clôture animée par Jean Philippe Bichard de NetCost&Security était composée de deux tables rondes et d'un entretien avec Jacques Beer-Gabel, ancien DSI de la Société Générale, Rhone Poulenc, ancien conseiller du Président de la CNIL, ancien vice-président du CIGREF et aujourd'hui consultant.

La première table ronde a traité du coût de la sécurité et de la gestion des risques, sujet choisi par les participants qui s'étaient prononcés par un vote à leur inscription parmi douze autres sujets. Selon Yves Maquet (Consultant) et Patrick Langrand (RSSI Natexis) «Etant donné l'historique de ce sondage, on ne peut évidemment pas lui donner une réelle valeur statistique. Mais c'est sans doute une indication de tendance. On remarquera que, dans les 10 questions, 6 relèvent surtout du management et 4 des aspects opérationnels. C'était le choix initial du comité du cercle européen de la Sécurité, mais il est confirmé par le pourcentage des réponses: 70% management et 30% opérations. Notre conclusion est que les RSSI sont, en tout cas,  préoccupés par le potentiel «managérial» de leur fonction. Nous nous en réjouissons, parce que cela laisse prévoir que les professionnels de la sécurité accéderont bientôt aux responsabilités de la haute direction. Il y a encore quelques années, ce n'était même pas envisageable»

Cette table ronde doté d'un thème «surprise» a été suivie d'une seconde table ronde sur la Mobilité animée par Eric Domage (Réseaux et télécoms). Lors de celle-ci de grands utilisateurs ont montré une évolution vers l'acceptation par les services sécurité de grands organismes de la mobilité et des réseaux sans-fil (lire le point de vue de Hervé Schauer ci-dessous).

 Enfin, Jacques Beer-Gabel a conclu la conférence en rappelant qu'il y a 500 Millions de mobiles et 500 Millions d'internautes sur la planète, et qu'au cours de sa carrière l'informatique était passée d'une informatique de technologie à une informatique de business. Il en va de m^me en 2003 pour les problématiques sécuritaires. Selon lui, il n'y a que deux choses qui comptent dans une entreprise : est-ce que vous rapportez de l'argent ? Est-ce que vous évitez de perdre de l'argent ? C'est valable aussi pour les RSSI en tant que Risk Mananger. Il a également rappelé que toute compagnie qui occupe un monopole génère des risques, en précisant que ce n'était pas une attaque particulière contre Microsoft.

Jean-Philippe Bichard / Hervé Schauer